Regellogghändelser

Granska dina användares försök att dela känsliga uppgifter

Beroende på vilken Google Workspace-utgåva du har kan du ha tillgång till säkerhetsutredningsverktyget, som har mer avancerade funktioner. Till exempel kan avancerade administratörer identifiera, prioritera och vidta åtgärder mot säkerhets- och integritetsproblem. Läs mer

Som administratör för din organisation kan du köra sökningar och vidta åtgärder på regelloggshändelser. Du kan till exempel visa en post över åtgärder för att granska dina användares försök att dela känsliga uppgifter. Du kan också granska händelser som utlösts av regelöverträdelser för dataförlustförebyggande (DLP). Poster visas vanligtvis inom en timme efter användaråtgärden.

Regellogghändelserna listar även datatyper för Chrome Enterprise Premium-hot och dataskydd.

Din möjlighet att köra en sökning beror på din Google-utgåva, dina administratörsbehörigheter och datakällan. Du kan köra en sökning på alla användare, oavsett deras Google Workspace-utgåva.

Revisions- och utredningsverktyg

För att söka efter logghändelser, välj först en datakälla. Välj sedan ett eller flera filter för din sökning.

  1. I Googles administratörskonsol, gå till Meny och sedan Rapportering och sedan Revision och utredning och sedan Regellogghändelser .

    Kräver administratörsbehörighet som granskning och utredning .

  2. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  3. Klicka på Lägg till ett filter och sedan välj ett attribut. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
  4. Välj en operator och sedan välj ett värde och sedan klicka på Verkställ .
    • (Valfritt) Upprepa det här steget om du vill skapa flera filter för din sökning.
    • (Valfritt) För att lägga till en sökoperator, välj OCH eller ELLER ovanför Lägg till ett filter .
  5. Klicka på Sök . Obs ! Med hjälp av fliken Filter kan du inkludera enkla parameter- och värdepar för att filtrera sökresultaten. Du kan också använda fliken Villkorsbyggare , där filtren representeras som villkor med OCH/ELLER-operatorer.

Verktyg för säkerhetsutredning

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

För att köra en sökning i säkerhetsutredningsverktyget, välj först en datakälla. Välj sedan ett eller flera villkor för din sökning. För varje villkor väljer du ett attribut , en operator och ett värde .

  1. I Googles administratörskonsol, gå till Meny och sedan Säkerhet och sedan Säkerhetscenter och sedan Utredningsverktyg .

    Kräver administratörsbehörighet i säkerhetscenter .

  2. Klicka på Datakälla och välj Regellogghändelser .

  3. För att filtrera händelser som inträffade före eller efter ett specifikt datum, välj Före eller Efter för Datum . Som standard visas händelser från de senaste 7 dagarna. Du kan välja ett annat datumintervall eller klicka på för att ta bort datumfiltret.

  4. Klicka på Lägg till villkor .
    Tips : Du kan inkludera ett eller flera villkor i din sökning eller anpassa din sökning med kapslade frågor . För mer information, gå till Anpassa din sökning med kapslade frågor .
  5. Klickattribut och sedan Välj ett alternativ. Om du till exempel vill filtrera efter en specifik händelsetyp väljer du Händelse .
    För en komplett lista över attribut, gå till avsnittet Attributbeskrivningar .
  6. Välj en operator.
  7. Ange ett värde eller välj ett värde från listan.
  8. (Valfritt) Upprepa stegen om du vill lägga till fler sökvillkor.
  9. Klicka på Sök .
    Du kan granska sökresultaten från undersökningsverktyget i en tabell längst ner på sidan.
  10. (Valfritt) För att spara din undersökning, klicka på Spara och sedan ange en titel och beskrivning och sedan klicka på Spara .

Anteckningar

  • På fliken Villkorsbyggare representeras filter som villkor med OCH/ELLER-operatorer. Du kan också använda fliken Filter för att inkludera enkla parameter- och värdepar för att filtrera sökresultaten.
  • Om du ger en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .
  • Du kan bara söka efter data i meddelanden som ännu inte har raderats från papperskorgen.

Attributbeskrivningar

För den här datakällan kan du använda följande attribut när du söker efter logghändelsedata.

<! -- Tabell för attributen för regellogghändelser-->

Attribut Beskrivning
Åtkomstnivå De åtkomstnivåer som valts som den här regelns kontextmedvetna åtkomstvillkor. Mer information finns i Skapa kontextmedvetna åtkomstnivåer .
Skådespelare

E-postadress till användaren som utförde åtgärden. Värdet kan vara Anonym användare om händelserna är resultatet av en omskanning.

Obs ! För åtgärder som utlöses av systemet och inte av en användare kan det här värdet vara tomt.

Skådespelarens gruppnamn

Aktörens gruppnamn. För mer information, gå till Filtrera resultat efter Google-grupp .

Så här lägger du till en grupp i din tillåtelselista för filtreringsgrupper:

  1. Välj aktörsgruppens namn .
  2. Klicka på Filtrera grupper .
    Sidan Filtrering av grupper visas.
  3. Klicka på Lägg till grupper .
  4. Sök efter en grupp genom att ange de första tecknen i dess namn eller e-postadress. När du ser önskad grupp markerar du den.
  5. (Valfritt) För att lägga till en annan grupp, sök efter och välj gruppen.
  6. När du är klar med att välja grupper klickar du på Lägg till .
  7. (Valfritt) För att ta bort en grupp, klicka på Ta bort grupp .
  8. Klicka på Spara .
Aktörens organisatoriska enhet Aktörens organisatoriska enhet
Blockerade mottagare Mottagarna som blockeras av den utlösta regeln
Villkorlig åtgärd En lista över åtgärder som kan utlösas vid användarens åtkomsttid, beroende på de kontextvillkor som konfigurerats för regeln.
Konferens-ID Konferens-ID för mötet som åtgärdades som en del av denna regelutlösare
Container-ID ID för den överordnade behållaren som resursen tillhör
Behållartyp Typ av överordnad behållare som resursen tillhör – till exempel Chattutrymme eller Gruppchatt , för chattmeddelanden eller chattbilagor
Datakälla Applikationen som ursprungligen kommer från resursen
Datum Datum och tid då händelsen inträffade
Detektor-ID Identifierare för en matchande detektor
Detektornamn Namn på en matchande detektor som administratörer definierat
Enhets-ID ID:t för den enhet där åtgärden utlöstes. Denna datatyp gäller hot och dataskydd för Chrome Enterprise Premium.
Enhetstyp Typ av enhet som enhets-ID:t refererar till. Denna datatyp gäller Chrome Enterprise Premium-hot och dataskydd.
Händelse

Den loggade händelseåtgärden.

Köra

Dessa händelser i dataskyddsregler loggas för Drive:

  • Åtgärd slutförd, innehåll matchat*: Innehåll i ett Drive-dokument har flaggats enligt en dataskyddsregel
  • Åtgärd slutförd, innehållet har inte matchat*: Drive-dokumentet har tagits bort från flaggan eftersom innehållet som ursprungligen utlöste en dataskyddsregel inte längre finns.
  • Åtkomst blockerad: En dataskyddsregel blockerade ett försök till nedladdning eller kopiering av en Drive-fil

Drive-anteckningar:

  • När en Drive-etikett ändras är värdet Etikett tillämpad , Fältvärde ändrat eller Etikett borttagen .
  • När förtroenderegler blockerar delning av Drive-filer är värdet Delning blockerad .
  • När förtroenderegler blockerar åtkomst till Drive-filer (visa, ladda ner eller kopiera) är värdet Åtkomst blockerad .

Gmail

Dessa händelser i dataskyddsregler loggas för Gmail:

  • Åtgärd slutförd, Meddelandet skickades granskades*: En dataskyddsregel granskade Gmail-meddelandet under sändningen
  • Åtgärd slutförd, Meddelandesändning blockerad*: En dataskyddsregel blockerade Gmail-meddelandet från att skickas
  • Åtgärd slutförd, meddelande skickat i karantän*: En dataskyddsregel placerade Gmail-meddelandet i karantän för granskning. Meddelandet skickades inte.
  • Åtgärd slutförd, varning för sändning av meddelande*: En dataskyddsregel varnade användaren mot att skicka Gmail-meddelandet

* Delen "Åtgärd slutförd" i dessa händelsenamn kommer att föråldras .

Kalender (beta)

Dessa händelser i dataskyddsregler loggas för Kalender:

  • Sparning av kalenderhändelse granskades: Kalenderhändelsen granskades medan den sparades.
  • Varning för sparad kalenderhändelse : En användare varnades att inte spara kalenderhändelsen.
  • Sparning av kalenderhändelse blockerad: Kalenderhändelsen blockerades från att sparas.
Har känsligt innehåll För utlösta dataskyddsregler med känsligt innehåll som upptäcks och loggats är värdet True .
Mottagare* De som fick den delade resursen
Antal utelämnade mottagare* Antal resursmottagare utelämnade på grund av överskridande av gränsen
Resurs-ID Objektet har ändrats. För dataskyddsregler:
  • För poster som rör Google Drive, klicka på resurs-ID:t för att visa Drive-dokumentet som ändrades.
  • För poster som rör Google Chat, klicka på resurs-ID:t för att se information om en chattkonversation. Chattdata kan upphöra att gälla, så all information är inte alltid tillgänglig.
  • För poster som rör Gmail, klicka på resurs-ID för att visa meddelande-ID eller bilagans namn.
Resursägare Användare som äger resursen som skannades och fick en åtgärd tillämpad på den
Resurstitel Titeln på resursen som ändrades. För DLP, en dokumenttitel.
Resurstyp För DLP för Drive är resursen Dokument . För DLP för Chatt är resursen Chattmeddelande eller Chattbilaga . För DLP för Gmail är resursen E-post eller E-postbilaga . För DLP för Kalender är resursen Kalenderhändelse .
Regel-ID ID för regeln som utlöstes
Regelnamn Regelnamn som administratören angav när regeln skapades
Regeltyp DLP är värdet för dataskyddsregler
Skanningstyp

Värdena är:

  • Kontinuerlig skanning av Drive (inträffar när en regel ändras)
  • Online-skanning (sköts när ett dokument ändras)
  • Chattskanning av innehåll före sändning (inträffar när ett chattmeddelande skickas)
  • Gmail skannar innehåll före sändning (inträffar innan ett Gmail-meddelande skickas)
  • Gmail-skanningsinnehåll efter sändning (inträffar efter att ett Gmail-meddelande har skickats)
  • Kalenderskanningsinnehåll innan händelsen sparas (inträffar innan händelsen skapas eller uppdateras)
  • Kalenderskanningsinnehåll under sparning av händelse (inträffar när händelsen skapas eller ändras)
Stränghet Regelns allvarlighetsgrad när den utlöstes
Undertryckt åtgärd* Åtgärder konfigurerade för regeln, men undertryckta. En åtgärd undertrycks om en åtgärd med högre prioritet inträffar samtidigt och utlöses.
Utlösare Aktivitet som ledde till att en regel utlöstes
Utlöst åtgärd Listar den åtgärd som vidtagits. Detta är tomt om en regel endast för granskning utlöstes.
Trigger-klient-IP IP-adressen för aktören som utlöste åtgärden
Utlösande av användar-e-postadress* E-postadress till aktören som utlöste åtgärden
Användaråtgärd Åtgärden som användaren försökte sig på som blockerades av en regel
Användarens enhets-ID

Du måste lägga till den här kolumnen i sökresultaten. För stegen, gå till Hantera kolumndata för sökresultat .

Detaljer om enheten som utförde åtgärden.

I sökresultaten klickar du på Användar-ID för att visa:

  • Användarens enhets-ID — Enhetens unika identifierare
  • Användarens enhetstyp — Den typ av enhet som används (t.ex. DESKTOP_MAC eller DESKTOP_WINDOWS)
  • Användarens enhets OS-version — Operativsystemversionen som är installerad på enheten

Om du exporterar den här informationen till en kommaseparerad fil (CSV) eller Google Sheets sparas informationen som ett enda textblock i en cell.

* Du kan inte skapa rapporteringsregler med dessa filter. Läs mer om rapporteringsregler kontra aktivitetsregler .

Obs ! Om du har gett en användare ett nytt namn kommer du inte att se frågeresultat med användarens gamla namn. Om du till exempel byter namn på GammaltNamn@example.com till NyttNamn@example.com kommer du inte att se resultat för händelser relaterade till GammaltNamn@example.com .

Hantera logghändelsedata

Hantera data i sökresultatskolumnen

Du kan styra vilka datakolumner som visas i dina sökresultat.

  1. Klicka på Hantera kolumner längst upp till höger i sökresultatstabellen. .
  2. (Valfritt) Om du vill ta bort aktuella kolumner klickar du på Ta bort .
  3. (Valfritt) För att lägga till kolumner, klicka på nedåtpilen bredvid Lägg till ny kolumn och välj datakolumnen.
    Upprepa vid behov.
  4. (Valfritt) Om du vill ändra ordningen på kolumnerna drar du datakolumnnamnen.
  5. Klicka på Spara .

Exportera sökresultatdata

Du kan exportera sökresultat till Kalkylark eller till en CSV-fil.

  1. Klicka på Exportera alla högst upp i sökresultatstabellen.
  2. Ange ett namn och sedan klicka på Exportera .
    Exporten visas under sökresultatstabellen under Exportera åtgärdsresultat .
  3. För att visa informationen klickar du på exportens namn.
    Exporten öppnas i Kalkylark.

Exportgränserna varierar:

  • Det totala resultatet av exporten är begränsat till 100 000 rader.
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    Om du har verktyget för säkerhetsundersökning är det totala resultatet av exporten begränsat till 30 miljoner rader.

För mer information, gå till Exportera sökresultat .

När och hur länge är data tillgängliga?

Vidta åtgärder baserat på sökresultat

Skapa aktivitetsregler och konfigurera aviseringar

  • Du kan konfigurera aviseringar baserade på logghändelsedata med hjälp av rapporteringsregler. För instruktioner, gå till Skapa och hantera rapporteringsregler .
  • Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

    För att effektivt förebygga, upptäcka och åtgärda säkerhetsproblem kan du automatisera åtgärder i säkerhetsundersökningsverktyget och ställa in aviseringar genom att skapa aktivitetsregler . För att konfigurera en regel, ställ in villkor för regeln och ange sedan de åtgärder som ska utföras när villkoren är uppfyllda. För mer information, gå till Skapa och hantera aktivitetsregler .

Vidta åtgärder baserat på sökresultat

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

När du har kört en sökning i säkerhetsutredningsverktyget kan du agera utifrån dina sökresultat. Du kan till exempel köra en sökning baserat på Gmail-logghändelser och sedan använda verktyget för att ta bort specifika meddelanden, skicka meddelanden till karantän eller skicka meddelanden till användarnas inkorgar. För mer information, gå till Vidta åtgärder baserat på sökresultat .

Hantera dina utredningar

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Visa din lista över utredningar

Om du vill se en lista över de utredningar som du äger och som delats med dig klickar du på Visa utredningar Utredningslistan innehåller namn, beskrivningar och ägare till utredningarna, samt datum för senaste ändring.

Från den här listan kan du vidta åtgärder för alla utredningar som du äger, till exempel att ta bort en utredning. Markera rutan för en utredning och klicka sedan på Åtgärder .

Obs ! Du kan se dina sparade undersökningar under Snabbåtkomst , direkt ovanför din lista över undersökningar.

Konfigurera inställningar för dina undersökningar

Som superadministratör klickar du på Inställningar till:

  • Ändra tidszonen för dina undersökningar. Tidszonen gäller för sökvillkor och resultat.
  • Aktivera eller inaktivera Kräv granskare . För mer information, gå till Kräv granskare för massåtgärder .
  • Aktivera eller inaktivera Visa innehåll . Den här inställningen tillåter administratörer med lämpliga behörigheter att visa innehåll.
  • Slå på eller av Aktivera åtgärdsjustering .

För mer information, gå till Konfigurera inställningar för dina undersökningar .

Spara, dela, radera och duplicera undersökningar

För att spara dina sökkriterier eller dela dem med andra kan du skapa och spara en undersökning och sedan dela, duplicera eller ta bort den.

För mer information, gå till Spara, dela, ta bort och duplicera undersökningar .

Använd regellogghändelser för att undersöka chattmeddelanden

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Som administratör kan du skapa en dataskyddsregel för Chat för att övervaka och förhindra läckage av känsligt innehåll. Du kan sedan använda säkerhetsutredningsverktyget för att övervaka Chat-aktivitet i din organisation – inklusive meddelanden och filer som skickas utanför din domän. Mer information finns i Undersök Chat-meddelanden för att skydda din organisations data .

Använd regellogghändelser för att undersöka överträdelser av DLP-regler

Utgåvor som stöds för den här funktionen: Frontline Standard och Frontline Plus; Enterprise Standard och Enterprise Plus; Education Standard och Education Plus; Enterprise Essentials Plus; Cloud Identity Premium. Jämför din utgåva

Som administratör kan du använda DLP-kodavsnitt (data loss prevention) för att undersöka om en DLP-regelöverträdelse är en verklig incident eller ett falskt positivt resultat. Mer information finns i Visa innehåll som utlöser DLP-regler .